Hi Ihr, hab heute mal die ehrenvolle Aufgabe nicht produktiv sein zu m�ssen. Vielmehr darf ich mich mit dem Thema "Sicherheit von Webanwendungen" besch�ftigen.
Zun�chst erst mal meine Ideen, die Ihr gerne nach eigenem Gusto erweitern d�rft ;) 1. SQL-Injektion D�rfte ja allseits bekannt sein. Die Frage ist nach M�glichkeiten dies auszuschlie�en, sowohl in bestehenden Projekten als auch neuen Projekten. In bestehenden Projekten w�re IMO eine einfache und sichere M�glichkeit alle Variablen welche zu einem SQL-String zusammen gebaut werden vorher durch eine Klasse zu jagen, welche auf gef�hrliche W�rter (INSERT, DELETE, UPDATE...) �berpr�ft und dann gegebenenfalls eine Meldung auswirft und abbricht. In neuen Projekten spielt IMO noch die DB im Hintergrund eine Rolle. Wie siehts denn erfahrungsgem�� hier bei Access, MS-SQL, Oracle aus? 2. DB Sicherheit Zum Beispiel MS-SQL Server "SA" Passwort setzen. Wird ja gerne vergessen bei der Installation ;) Eigene Benutzer f�r jede DB. Evtl. sogar 2 Benutzer mit unterschiedlichen Rechten (schreiben / lesen)? 3. Webserver Sicherheit Eigener IUSR_XXX f�r jedes Web. Rechte auf NTFS auf IUSR_XXX anpassen. ... ? 4. BS Sicherheit Patches usw. 5. Firewall, DMZ usw. Hardware, Software? Wo sinnvoll? 6. Zugriffsschutz f�r gesicherte Bereiche Absicherung �ber NTFS und NT Benutzer? Absicherung �ber eigene Userverwaltung in DB? 7. Verschl�sselung Verschl�sselung von Daten. Zum Beispiel Passw�rter in der DB mit MD4, MD5, SHA-1 usw. Dies mal meine ersten Ideen. Bin gespannt auf Eure Meinungen ;) Ciao Buchi _______________________________________________ Coffeehouse Mailingliste, Postings senden an: [EMAIL PROTECTED] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/coffeehouse
